История о том, как «некопируемый» токен изменил концепцию работы с ключами

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

«Бросая в воду камешки, смотри на круги, ими образуемые; иначе такое бросание будет пустою забавою». Пожалуй, руководствуясь именно этой мудростью Козьмы Пруткова руководство нашей компании полностью изменили метод работы с ключами доступа к ресурсам и документам.

Токен ИФСН: удобство или головная боль?

Эта история началась, когда руководство нашей компании приняло решение получить ЭЦП в ИФНС. При помощи этой подписи можно подавать налоговую отчетность, отправлять документацию в госорганы, принимать госзаказы, работать с ЕГАИС и проч. Правда, есть один нюанс — ключ не подлежит копированию. Но на это мы не обратили особого внимания. Как оказалось, напрасно.

Впрочем, если не выходить за рамки «книжных» бизнес-процессов, то никаких копий делать не надо. Право подписи имеет один человек, поэтому токен должен находиться именно у него. Когда он уходит в отпуск или заболеет, то передаёт ключ своему заместителю. Важно тут то, что в любой момент времени «владелец» у корпоративной ЭЦП может быть только один.

Но на практике это работает не всегда. Например. у нашей компании два владельца, обладающих практически одинаковыми правами. Плюс к этому — дистанционно работающий главный бухгалтер. Одному нужно подписать отчёт, другому — договор, третьему — зайти на ЕГАИС…

Постоянно передавать токен из рук в руки — вариант очень плохой. От него мы отказались буквально через неделю. И начали искать другой метод.

Наш выбор — маршрутизатор "технологии USB over IP"

Использование решений, построенных на "технологии USB over IP", позволяет удалённо подключать различные USB-устройства. В том числе и токены.

Само решение мы искали недолго. Стратегически наша компания ориентирована на импортозамещение, поскольку риски, в том числе и политические, мы давно считать научились. Примеров того, как внезапно введённые санкции могут серьёзно повредить бизнесу, более чем достаточно. Поэтому маршрутизатор "технологии USB over IP" без вариантов.

Также учитывались дополнительные удобства: возможность заранее протестировать работу устройства, доступность техподдержки на русском языке и т. д. К тому же, по критерию цена/качество российская модель выглядит предпочтительней остальных.

Поскольку принципиальное решение уже было принято, осталось только выбрать количество портов. Предлагаемые разработчиков варианты: 16, 32, 48 и 64. И это при том, что нам нужно было сделать дистанционно доступным всего один токен.

В таких условиях руководство приняло парадоксальное решение — приобрести старшую модель на 64 порта. Практика показала, что выбор был сделан верно. И не только потому, что стоимость одного порта у старшей модели минимальный.

Костыль или смена парадигмы?

Дело в том, что помимо ключа ИФНС у нас и другие токены. Например, для доступа к внутренним ресурсам. Эти копировать можно, чем мы и пользовались. Иными словами, текущая проблема касалась всего одного ключа и для её решения требовалось то, что программисты называют костылём.

Отношение к такому методу решения проблем полностью характеризуется его названием. Один костыль обязательно повлечёт за собой следующий и этому не будет конца. Наше руководство это прекрасно понимало и подобные способы не одобряло. Тем более, если есть другие варианты.

Итак, было принято решение полностью отказаться от выдачи токенов на руки и постепенно переходить на дистанционную модель. Основное достоинство новой парадигмы — полный контроль за использованием ключей.

Практика перехода

План был следующим. Токен ИФНС подключался к маршрутизатору сразу. Доступ к нему был разрешён владельцам и главному бухгалтеру. Впоследствии в этот список был включён начальник отдела продаж, который часто замещал одного из владельцев бизнеса.

С этим особых проблем не было. Круг лиц был изначально ограничен и все они достаточно дисциплинированы и ответственно относятся к работе.

А вот следующий шаг мы планировали долго. Выбрали токен доступа к каталогу с договорами. Всего было выпущено восемь копий, которые находились у начальников коммерческих подразделений. Те, в свою очередь, давали ключи во временное пользование своим сотрудникам, работающим с документацией.

Сначала мы хотели попробовать реализовать некую гибридную схему. Все физические ключи остались у сотрудников, а параллельно с этим один токен был подключен к маршрутизатору "технологии USB over IP". Но плавного перехода не получилось — сотрудники предпочитали привычную им схему работы.

Поэтому все физические ключи были изъяты. Из всех сотрудников каждого отдела мы сформировали группы, имеющие доступ к данному токену. Почему из всех? Потому, что начальники отделов не вели учёта выдаваемых ключей и затруднялись составить готовый список групп.

Через неделю администратор посмотрел лог-файлы и исключил из групп тех сотрудников, которые за это время ни разу не воспользовались токеном. Остались только те, кто заведомо нуждался в доступе. Впоследствии состав групп корректировался, но уже строго по служебной записке начальника подразделения.

Когда всё это нормализовалось, начальникам отделов были делегированы права администратора группы. Таким образом, все его действия отслеживались по логину, что способствовало быстрому обнаружению и исправлению возможных ошибок.

По той же схеме были подключены и другие отделы. Чтобы избежать путаницы каждая группа видела только те ключи, доступ к которым был ей разрешён.

Будучи уже отработанной, вся процедура миграции с физических копий на сетевой доступ занимала максимум десять дней. За это время удавалось решить все рабочие вопросы.

Наконец, наступила очередь постоянных и временных групп, состоящих из сотрудников разных отделов. По сути схема работы была той же самой, правда административные права не передавались никому — выделить в таких коллективах главного было затруднительно.

Так, начав с одного «некопируемого» токена, мы полностью сменили концепцию работы с ключами доступа. Использование маршрутизатора "технологии USB over IP" позволило нам полностью отказаться от изготовления дубликатов и упорядочить ряд критичных бизнес-процессов компании.

Источник: https://habr.com/ru/post/716006/


Интересные статьи

Интересные статьи

Всем привет, меня зовут Дима, и последние 9 лет я работаю в компании Veeam. Начав простым C# разработчиком, я вырос в тимлида маленькой, но дружной команды из семи человек. Как так получилось, а также...
Понадобилось мне тут недавно фрилансера найти, чтобы вебсайт сделать. Казалось бы, и что тут такого? Уж кого-кого, а веб-девелоперов в стране хватает! За пару недель найд...
В своих проектах мы стараемся по мере необходимости покрывать код тестами и придерживаться принципов SOLID и чистой архитектуры. Хотим поделиться с читателями Хабра перев...
Материаловеды НИТУ «МИСиС» и Университета Западной Австралии представили инновационный биорезорбируемый сплав на основе магния, галлия и цинка. Материал может применяться для изго...
Вчера бывший главный редактор TJournal, Никита Лихачёв, запостил в своём телеграм-канале пару длинных аудиосообщений, почти подкаст, где рассказывает, что он думает о реестре ОРИ, письмах в крупн...